ISO/IEC 27001: la certificación
El informe anual de riesgos del World Economic Forum advierte de una 'policrisis'. En este escenario, ciberataques y el cibercrimen se sitúan como uno de los diez riesgos a considerar. En consecuencia, certificaciones como la ISO/IEC 27001 se convierten en una herramienta fundamental para que las organizaciones logren una mejor gestión de la ciberseguridad.
Raro es el día que no desayunamos/comemos/cenamos con la noticia del ataque sufrido por alguna empresa. Es el día a día, casi se podría hablar de la edad de oro de la ciberdelincuencia, pues los ataques siguen creciendo y el futuro no es demasiado esperanzador.
El escenario
Akshay Joshi, director de Industria y Asociaciones, Centro de Ciberseguridad del World Economic Forum, sostiene que la incertidumbre geopolítica y económica en todo el mundo está exacerbando la amenaza de ciberataques potencialmente catastróficos, lo que aumenta el riesgo para las empresas de todos los sectores.
“El año pasado, el riesgo geopolítico volvió a ocupar el centro de los asuntos mundiales, trastornando las cadenas de suministro y perturbando importantes industrias, desde la energética hasta la alimentaria. Las nuevas tecnologías también evolucionan con rapidez, y con ellas aparecen nuevas vulnerabilidades, que los atacantes -algunos de los cuales tienen fuertes motivos geopolíticos- no suelen tardar en explotar”.
Por eso cree que el riesgo de ciberataque podría incluir, por ejemplo, un ataque de ransomware o una filtración de datos confidenciales de los consumidores, lo que causaría trastornos a gran escala y tendría un alto coste reputacional y financiero.
“Aunque se ha avanzado en el refuerzo de la concienciación y la preparación en materia de ciberseguridad, las empresas pueden hacer más para aumentar su capacidad de resistencia, por ejemplo, mejorando la ciberalfabetización, la comunicación y el intercambio de información”, recomienda.
En su opinión, la actual atención a la geopolítica y al riesgo de terceros ofrece un punto de entrada para una conversación más amplia sobre el ciberriesgo. “La situación está mejorando, pero no lo suficientemente rápido como para que la mayoría de las organizaciones y empresas confíen en que están preparadas para afrontar un ciberataque grave. La resistencia y la preparación deben estar en el centro de la estrategia empresarial”.
Y es ahí donde certificaciones como la ISO/IEC 27001 se convierten en una herramienta fundamental para que las organizaciones logren una mejor gestión de la ciberseguridad, desde el punto de vista técnico, organizacional y legal según el análisis de riesgos de los sistemas de la información.
“Las organizaciones modernas están transformando digitalmente sus negocios con estrategias centradas en la nube, aumentando el consumo de aplicaciones SaaS e implementando metodologías DevOps. Estas iniciativas amplían la superficie de ataque al crear identidades humanas y de máquinas adicionales que pueden obtener acceso privilegiado bajo ciertas condiciones. Así, una vez que los atacantes entran, buscan acceso a los datos más confidenciales de una organización con la intención de causar daños costosos. Y si las identidades privilegiadas se han visto comprometidas puede provocar daños en la reputación, pérdidas financieras y el robo de la propiedad intelectual”, argumenta Karina Rojas, directora de Canal de CyberArk para España y Portugal.
En opinión de esta especialista, para mantener la seguridad de la identidad, que es el principal método de compromiso en el entorno de prioridad digital actual, “es vital estudiar la vía de ataque en lugar de concentrarse solo en el cumplimiento”.
El papel de la certificación ISO/IEC
“Las certificaciones ISO son muy necesarias, tanto la 27001 como la 23301 como la 20000. Más que nada porque ayudan a tener unos procesos evaluables y comparables con el resto de compañías y son una herramienta clave para que las organizaciones logren una mejor gestión de la ciberseguridad”, explica Sergio Cabrera, director comercial del área de Ciberseguridad de ITE.
La ISO/IEC 27001 es un estándar internacional que establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI). Al seguir los requisitos de este estándar, las organizaciones pueden implementar un marco de gestión de la seguridad de la información eficaz y establecer un proceso continuo de mejora en la seguridad.
La implementación de un SGSI conforme a la norma ISO/IEC 27001 ayuda a las organizaciones a identificar y evaluar los riesgos de seguridad de la información a los que están expuestas y a establecer los controles necesarios para minimizarlos. Además, esta norma promueve la conciencia y la cultura de la seguridad en toda la organización, lo que contribuye a la protección de la información confidencial y sensible.
“Evidentemente, contar con esta certificación ISO/27001 contribuye a que los clientes y a los partners tengan la confianza de que la organización gestiona adecuadamente la seguridad de la información y cumple con los estándares internacionales”, vuelve Sergio Cabrera.
El grado de conocimiento de las empresas
Richard de la Torre, Technical Product Marketing manager, Enterprise Solutions, Bitdefender reconoce que las empresas están adoptando cada vez más el uso de estas certificaciones. En su opinión, hay algunos pasos clave que las organizaciones suelen tomar para implementar ISO/IEC 27001:
“Primero, la organización debe establecer un sistema de gestión de seguridad de la información (SGSI) que cumpla con los requisitos de la norma ISO/IEC 27001. Esto implica identificar el alcance del sistema de gestión de seguridad de la información, determinar los objetivos y controles de seguridad que se necesitan e implementar estos controles en toda la organización. Algunos de estos controles pueden involucrar sistemas de monitorización de integridad, habilitar la autenticación de dos factores en las cuentas y más.
Puede leer aquí el reportaje completo.
